Nova Uptime
Strumento gratuito

Controllo DMARC gratuito

Valida il record DMARC del tuo dominio gratis — nessuna registrazione richiesta. Controlla la forza della policy, la configurazione del reporting e ricevi.

DMARC Policy Progression

1

Monitor

p=none

Collect reports without affecting delivery. Monitor for 2+ weeks.

2

Partial Quarantine

p=quarantine; pct=25

Quarantine 25% of failing emails. Watch reports for false positives.

3

Full Quarantine

p=quarantine; pct=100

All failing emails go to spam. Confirm legitimate senders pass.

4

Reject

p=reject

Block all unauthorized emails. Maximum protection against phishing.

Cos'è DMARC e perché conta nel 2026

DMARC — Domain-based Message Authentication, Reporting & Conformance — è il livello di policy che lega SPF e DKIM. SPF dice ai server riceventi quali IP sono autorizzati a inviare posta per il tuo dominio. DKIM firma crittograficamente ogni messaggio, così il destinatario può verificare che non sia stato manomesso. DMARC è il manuale di istruzioni: dice a Gmail, Outlook, Yahoo e a ogni altro provider di posta cosa fare quando un messaggio che dichiara di provenire dal tuo dominio non supera uno o entrambi questi controlli. Senza DMARC, gli attaccanti possono falsificare il tuo indirizzo From e cavalcare la tua reputazione fino alle inbox dei clienti.

Nel 2026 non è più opzionale. Da febbraio 2024 — e con strette costanti durante il 2025 e il 2026 — Gmail e Yahoo richiedono che ogni mittente che invia oltre 5.000 messaggi al giorno abbia un record DMARC valido. Microsoft 365 ha seguito con il proprio enforcement per i mittenti ad alto volume. I domini senza DMARC vedono la posta di massa rimbalzare o finire dritta nello spam, e i tassi di phishing per impersonificazione del brand quasi raddoppiano quando manca DMARC.

Anatomia di un record DMARC

Un record DMARC è un singolo record TXT pubblicato su _dmarc.iltuodominio.com. È una lista di tag separati da punto e virgola. Ecco un record tipico e cosa fa ogni elemento:

v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com; pct=100; aspf=r; adkim=r;
  • v=DMARC1Tag versione obbligatorio. Deve essere esattamente DMARC1 (case-sensitive) o l'intero record viene ignorato.
  • p=La policy stessa. p=none significa solo monitoraggio — i fallimenti vengono comunque consegnati. p=quarantine invia la posta che fallisce nella cartella spam. p=reject la blocca direttamente al confine SMTP.
  • rua=Mailbox per i report aggregati. I receiver inviano qui report XML giornalieri che riassumono quali IP hanno inviato posta usando il tuo dominio e quanti messaggi sono passati o falliti. Formato: rua=mailto:dmarc-reports@iltuodominio.com.
  • ruf=Mailbox per i report forensi (di fallimento). Campioni di fallimento per messaggio con header e a volte body redatto. La maggior parte dei provider non li invia più per motivi di privacy, quindi rua è di gran lunga più utile in pratica.
  • pct=Percentuale di posta non conforme a cui applicare la policy (1–100). Permette di scaglionare i rollout: pct=25 con p=quarantine mette in quarantena un quarto dei fallimenti lasciando consegnato il 75%.
  • aspf= / adkim=Modalità di allineamento. aspf=s/r e adkim=s/r controllano se il match dei domini SPF/DKIM è strict (corrispondenza esatta) o relaxed (sottodominio ammesso). Il default è relaxed, ed è ciò che vuole praticamente chiunque.

5 errori comuni di DMARC e come risolverli

Errore: nessun record DMARC trovato

La modalità di fallimento più comune. Esegui dig TXT _dmarc.iltuodominio.com — se non restituisce nulla, il record manca. Controlla tre cose: (1) hai pubblicato il record TXT su _dmarc come sottodominio, non sul dominio root; (2) il campo host è esattamente _dmarc con underscore iniziale (alcune UI DNS lo rimuovono); (3) hai atteso la propagazione. Il TTL è tipicamente 300–3600 secondi, ma Cloudflare e Route53 sono di solito attivi entro un minuto. Evita _DMARC maiuscolo — le label DNS sono case-insensitive ma alcuni validator sono rigidi.

Errore: record DMARC multipli

Se esistono due o più record TXT su _dmarc, l'RFC 7489 impone ai receiver di ignorarli tutti — il tuo dominio torna a non avere policy. Questo accade spesso quando uno strumento di marketing o uno script di migrazione pubblica un secondo record senza rimuovere il primo. Esegui dig +short TXT _dmarc.iltuodominio.com — se vedi più di una riga v=DMARC1, elimina la più vecchia o più debole. Consolida tutto in un singolo record con tutti i tag che ti servono (p, rua, ruf, pct, aspf, adkim).

Errore: sintassi non valida

I parser DMARC sono rigidi. I cinque errori di sintassi più comuni: (1) punti e virgola mancanti tra i tag — ogni coppia di tag deve terminare con ;; (2) uso del segno = nelle URI mailto senza encoding corretto; (3) uso di virgolette tipografiche copiate da un Word invece di virgolette ASCII dritte; (4) refusi tipo p=quarentine o p=rejct; (5) avvolgere l'intero record in virgolette extra quando l'UI DNS le aggiunge già. Valida con il nostro checker qui sopra — analizza tag per tag e ti dice esattamente quale token ha fallito.

Errore: fallimenti di allineamento SPF/DKIM

DMARC passa solo quando almeno uno tra SPF o DKIM autentica e si allinea con il dominio From. Una trappola comune: il tuo ESP (es. Mailchimp) autentica con il proprio return-path tipo bounces.mcsv.net, quindi SPF passa ma non si allinea con iltuodominio.com. Risolvi abilitando la firma DKIM con il tuo dominio sull'ESP — l'allineamento DKIM è più facile di quello SPF perché il tag d= nella firma DKIM può corrispondere al tuo dominio root. Per i sottodomini, imposta aspf=r e adkim=r (relaxed, il default) così la posta dei sottodomini si allinea con la root.

Setup DMARC in 5 passaggi

  1. Verifica l'autenticazione attualePrima di pubblicare DMARC, sistema SPF e DKIM. Esegui il nostro SPF Checker e DKIM Checker su ogni dominio e sottodominio mittente. Conferma che SPF sia sotto il limite di 10 lookup DNS e termini con -all o ~all. Conferma che DKIM firmi con una chiave a 2048 bit e sia allineato con il tuo dominio From.
  2. Pubblica un record di monitoraggio (p=none)Aggiungi questo record TXT all'host _dmarc: v=DMARC1; p=none; rua=mailto:dmarc@iltuodominio.com; pct=100; aspf=r; adkim=r. p=none significa nessun impatto sul flusso di posta — i receiver inizieranno a inviarti report aggregati senza mettere in quarantena o rifiutare nulla. Questa è la fase di raccolta dati. Usa una mailbox dedicata o un tool di analisi DMARC, perché l'XML grezzo è illeggibile su grande scala.
  3. Raccogli i report aggregatiEntro 24 ore dovresti iniziare a ricevere report XML giornalieri dai principali receiver. Analizzali per identificare ogni IP e piattaforma che invia posta come tuo dominio. I mittenti attesi (Google Workspace, Mailchimp, SendGrid) dovrebbero passare. Quelli inattesi sono shadow IT o spoofer — investiga prima di stringere la policy.
  4. Passa a quarantine con pct=25Una volta che il 95%+ della posta legittima passa sia SPF che DKIM con allineamento, stringi a v=DMARC1; p=quarantine; pct=25; rua=...;. Ora il 25% della posta non conforme va nello spam. Tieni d'occhio report e ticket dell'helpdesk per falsi positivi. Dopo due settimane pulite, alza pct a 50, poi a 100.
  5. Arriva a p=rejectStato finale: v=DMARC1; p=reject; rua=mailto:dmarc@iltuodominio.com; pct=100;. La posta non conforme viene rimbalzata al confine SMTP — i phisher non possono più falsificare il tuo dominio. Questa è l'unica configurazione che protegge completamente il tuo brand. La maggior parte dei domini raggiunge reject entro 8 settimane dall'avvio a p=none.

Fasi di rollout DMARC (da 4 a 8 settimane)

Un rollout DMARC sicuro segue una rampa basata su percentuali, così puoi intercettare configurazioni errate prima che danneggino la deliverability. La timeline minima accettabile è quattro settimane; otto è più sicura per organizzazioni con molte piattaforme di invio.

  • Settimana 1-2: Monitor (p=none)Pubblica p=none con reporting rua=. Raccogli i report aggregati, identifica ogni mittente legittimo e sistema le lacune di SPF/DKIM. Aspettati di scoprire almeno un ESP shadow di cui nessuno ha parlato all'IT.
  • Settimana 3-4: Quarantine pct=25Passa a p=quarantine; pct=25. Un quarto della posta non autenticata finisce nello spam. Monitora i report quotidianamente per cali inattesi nella posta legittima. Se un mittente si rompe, torna a p=none, sistemalo e riprova.
  • Settimana 5-6: Quarantine pct=100Alza a p=quarantine; pct=100. Tutta la posta non conforme va nello spam. A questo punto i tuoi report dovrebbero mostrare tassi di pass del 99%+ dai mittenti noti. La posta falsificata che tenta di spacciarsi per il tuo dominio è ora neutralizzata nella inbox del destinatario.
  • Settimana 7-8: RejectPassa a p=reject; pct=100. La posta non conforme viene rimbalzata durante la transazione SMTP — non raggiunge mai il destinatario. Questo è lo stato di destinazione. Tieni acceso il reporting (rua=) per individuare regressioni quando viene aggiunto un nuovo ESP.

Requisiti Gmail e Yahoo 2026

Se invii più di 5.000 messaggi al giorno verso indirizzi Gmail o Yahoo, DMARC è obbligatorio. Il record minimo accettabile è p=none — ma le linee guida di Google ora raccomandano p=quarantine o più stringente. Senza un record DMARC valido, i mittenti di massa vedono i messaggi rimbalzare con 5.7.26 'unauthenticated email is not accepted' o finire dritti nello spam indipendentemente dal contenuto. Gli altri requisiti 2026 si sommano: unsubscribe one-click negli header, tasso di reclami spam sotto lo 0,3% e TLS per SMTP. DMARC è il più economico da implementare — tipicamente un singolo record TXT e 30 minuti di lavoro — ed è la leva di deliverability più importante per posta transazionale e di marketing.

DMARC FAQ

What is DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) is an email authentication policy that builds on SPF and DKIM. It tells receiving servers what to do when emails fail authentication — monitor (none), quarantine, or reject them.
What do the DMARC policies mean?
Policy "none" means monitor only (no action on failures). "Quarantine" sends failing emails to spam. "Reject" blocks them entirely. Start with "none" to monitor, then gradually increase to "reject" after confirming legitimate emails pass.
What is DMARC alignment?
DMARC alignment checks that the domain in the From header matches the domains used in SPF and DKIM. "Relaxed" alignment (aspf=r, adkim=r) allows subdomains; "strict" (aspf=s, adkim=s) requires exact matches.
What are DMARC aggregate reports (rua)?
The rua tag specifies where to send daily aggregate XML reports showing who's sending email using your domain, pass/fail rates, and source IPs. Set it to "mailto:dmarc@yourdomain.com" to receive these reports.
How long does DMARC take to work?
DMARC records propagate via DNS (1-48 hours). However, the full rollout to "reject" policy should take 4-8 weeks: start with p=none to collect data, then move to p=quarantine with pct=25, increase percentage, and finally switch to p=reject.
Posso usare DMARC con più servizi di invio (es. Mailchimp + SendGrid + transazionale)?
Sì — e la maggior parte dei domini lo fa. A DMARC non importa quante piattaforme inviano per te, importa solo che ognuna passi SPF o DKIM con allineamento del dominio. Configura la firma DKIM personalizzata per ogni ESP usando il loro setup di domain authentication (Mailchimp, SendGrid, Postmark, Amazon SES la supportano tutti). Per SPF, includi il meccanismo di ogni ESP nel tuo record ma occhio al limite di 10 lookup DNS — appiattiscilo con un tool se lo superi. Poi verifica nei report aggregati che ogni mittente legittimo risulti DMARC-allineato prima di stringere a reject.
Qual è la differenza tra report rua e ruf?
I report rua (aggregati) sono riepiloghi XML giornalieri: quali IP hanno inviato posta, quanti messaggi, conteggi pass/fail. Non contengono contenuto del messaggio e sono sicuri per qualsiasi inbox. I report ruf (forensi/di fallimento) sono campioni per messaggio con header e a volte body redatto — utili per la risposta agli incidenti, ma raramente inviati oggi per motivi GDPR. Imposta rua=, salta ruf= a meno che non abbia un'esigenza specifica.
Come verifico che DMARC funzioni prima di passare a reject?
Tre controlli. Primo, il checker qui sopra deve mostrare un record valido senza errori di sintassi. Secondo, i tuoi report aggregati devono mostrare un tasso di pass DMARC del 99%+ da ogni mittente legittimo per almeno due settimane a p=quarantine; pct=100. Terzo, invia mail di test da ognuna delle tue piattaforme a un indirizzo Gmail e ispeziona gli header — Authentication-Results deve mostrare dmarc=pass per l'allineamento sia di spf che di dkim. Se uno dei tre controlli fallisce, sistema la lacuna sottostante di SPF o DKIM prima di far avanzare la policy. Andare in reject con allineamento rotto rimbalza posta reale.
I sottodomini possono usare una policy DMARC diversa?
Sì. Il tag sp= (subdomain policy) ti permette di impostare una policy diversa per i sottodomini. Esempio: v=DMARC1; p=reject; sp=quarantine; rua=...; rifiuta la posta che falsifica iltuodominio.com ma mette solo in quarantena la posta che falsifica sottodomini arbitrari. Utile quando non sai ancora quali sottodomini inviano posta legittima. Per maggiore sicurezza, imposta sp=reject non appena hai inventariato i mittenti dei sottodomini.
DMARC influisce sull'inoltro legittimo delle email (es. alias)?
Può. Quando la posta viene inoltrata — diciamo da contact@iltuodominio.com a un Gmail personale — SPF si rompe perché il server di forwarding non è nel tuo record SPF. DKIM di solito sopravvive perché la firma viaggia con il messaggio, ma le mailing list che modificano subject o footer possono rompere anche DKIM. La soluzione è ARC (Authenticated Received Chain), che la maggior parte dei provider principali (Gmail, Outlook, Office 365) ora implementa automaticamente. I forwarder che supportano ARC preservano il risultato di autenticazione originale. Gli alias impostati dentro Gmail o Microsoft 365 non sono toccati perché usano ARC di default.

Strumenti gratuiti correlati

Controllo SPF dominio Controllo DKIM dominio Controllo blacklist email Controllo scadenza dominio Controllo scadenza SSL Controllo salute email completo

Monitora il tuo record DMARC 24/7

Ricevi avvisi istantanei se il tuo record DMARC cambia, si rompe o viene rimosso.

Inizia il monitoraggio gratis

Related Guides

More Free Tools

Check your domain and email health with our complete toolkit — no sign-up required.

Email Health Checker
Domain SPF Checker
Domain DKIM Checker
Email Blacklist Checker
Email Inbox Risk Checker
Domain Age Checker
Domain Expiry Checker
Domain SSL Expiry Checker
Cold Email Simulator